在网页中使用登录功能时,验证输入数据的最佳做法是什么?
我不是在谈论大量用户,而只是一个管理员角色。该网页未使用任何数据库,因此我不想仅包含一个帐户的功能。
目前我只是使用带有输入数据和硬编码密码的 If 语句,这在某种程度上感觉不安全,但同时用户只要不访问服务器就看不到 php 代码,还是我错了?
if($password == 'myPassword123')
顺便说一句,有没有办法从服务器下载实际的 .php 文件(从用户的角度来看)。
在正常实践中,没有办法只下载 php 文件的副本而不会在服务器上出现一些错误或配置错误。
话虽如此,您可能应该只存储密码的哈希而不是纯文本版本http://php.net/manual/en/faq.passwords.php
用户访问您的 PHP 代码的唯一方法是:
我会创建一个动态生成的字符串,然后将其与我的密码相结合,并且可能会执行诸如捕获尝试次数之类的操作。锁定用户直到会话过期。:D
<?php //login.php
$_SESSION['xrf'] = hash('sha512');
$myPassword = 'password';
?>
<input type="hidden" name="_xrf_" />
<input type="password" name="password" />
<?php
$password = $_POST['password'];
if(isset($password) && $_SESSION['attempt'] != 3):
$xrf = $_POST['_xrf_'];
if($password === $myPassword && $_SESSION['xrf'] === $xrf):
echo 'Hell Yeah';
else:
header("Cache-Control: private, must-revalidate, max-age=0");
header("Pragma: no-cache");
header("Expires: Sat, 27 Jan 1997 05:00:00 GMT");
header("Location:login.php");
endif;
else:
$_SESSION['attempt'] += 1;
endif;
?>
散列密码!永远不要以明文形式存储。
为了阻止错误配置泄露您的密码,请将密码存储在 Web 根目录之外,因此如果 PHP 要泄露您的代码,那么客户端/攻击者将无法访问实际的哈希/文件。这是一个使用简单用户函数中的crypt()函数检查通过的简单示例。
<?php
function check_pass($password){
$chkpass = file_get_contents(dirname(__FILE__).'/../path_outside/webroot/adminpass.txt');
if(crypt($password, $chkpass) == $chkpass){
return true;
}else{
return false;
}
}
/* The file adminpass.txt contains the hash
$1$MH0.l.1.$aNx9btlqPfGpkAxK4Bdym.
which is mypassword in plaintext */
if (check_pass($_POST['password'])) {
echo "ok!";
}else{
echo "fail!";
}
?>